人民網
人民網>>強國新聞

強觀察丨這份征求意見稿加強合規審計,讓個人信息更安全

方經綸
2023年08月15日08:35 | 來源:人民網-強國論壇
小字號

為指導、規范個人信息保護合規審計活動,國家互聯網信息辦公室起草了《個人信息保護合規審計管理辦法(征求意見稿)》(下文簡稱“征求意見稿”),近日向社會公開征求意見。

個人信息保護合規審計,是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

“征求意見稿中的內容是對個人信息保護法合規審計相關內容的一個補充和延伸?!敝袊ù髮W傳播法研究中心副主任朱巍說。

關于合規審計,個人信息保護法第54條規定,個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計;第64條規定,履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。

“征求意見稿使得合規審計的執行更具有實操性,也提出了更為嚴格和詳細的要求?!蔽髂险ù髮W民商法學院副教授杜江涌表示,征求意見稿從審計分類、主體范圍和審計頻率、審計機構、審計時限等方面規定了個人信息保護合規審計的具體管理辦法,以個人信息保護為核心,例如以知情同意、權益保障、處理目的等為要點進行合規審計。其中有兩個亮點值得關注,首先征求意見稿提出“處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次個人信息保護合規審計”,另外其首次明確了對外部獨立監管機構的要求。

征求意見稿為何將個人信息處理者以100萬為標準進行分類?

朱巍告訴人民網“強觀察”欄目,目前企業采集個人信息的數量比較龐大,相較之,100萬并不是一個大數字,把這一標準具象化來形容,包括中小型企業在內的多數互聯網企業,都需要接受一年至少一次的個人信息保護法合規審計。

杜江涌同樣表示,我國人口龐大,同時移動互聯網對居民生活的深度介入,實際上大量企業或機構所處理的個人信息都會“輕松”超過100萬人,大量互聯網平臺公司都將進行年度個人信息保護合規審計。因此,100萬人次門檻的設置標準其實并不高,主要目的是更好地保護民眾的個人信息權益。

在很多情況下,合規審計工作需要企業委托專業機構開展,對于專業機構的妥善管理有助于保持合規審計的有效性。為此,征求意見稿對外部專業審計機構同樣作出相關規定。

例如,征求意見稿規定,執行個人信息保護合規審計的專業機構應當保持獨立性和客觀性,連續為同一審計對象開展個人信息保護合規審計不得超過三次。并且專業機構不得轉包委托第三方開展個人信息保護合規審計。

此外,征求意見稿提出建立個人信息保護合規審計專業機構推薦目錄,每年組織開展個人信息保護合規審計專業機構評估評價,并根據評估評價情況動態調整個人信息保護合規審計專業機構推薦目錄。

“征求意見稿中所規定的審計活動要求幾乎涵蓋了大型互聯網企業全部業務活動的各個方面,比如針對個人信息處理全流程、內部管理制度和操作規程的審計等。然而,要落實這些規定,還需要理清一些問題?!倍沤颗e例,征求意見稿所附的個人信息保護合規審計參考要點還存在許多可以細化的部分,主要集中在審計依據、審計目標、審計范圍等方面。其次,各類根據個人信息保護法所作出的規定,尚不能滿足合規審計所需的法律依據。為了保障審計結果具有實際意義和參照價值,應進一步完善相關法律依據。

(責編:方經綸、賀迎春)

分享讓更多人看到

返回頂部